外媒 1 月 9 日消息，趋势科技近期于 Google Play 商店发现了首款使用 Kotlin 语言编写的恶意应用程序 Swift Cleaner。据研究人员介绍，该恶意软件被描述成用于清理和优化 Android 设备的工具，但实际上该软件能够执行远程命令、窃取信息、短信发送、URL 转发和点击欺诈。最重要的一点是，在未经许可的情况下自动为用户订阅收费短信服务。截至研究人员发现时，该恶意应用程序 下载安装数量已达 5000 次。

图1. Swift Cleaner，伪装成 Android 清洁应用程序的恶意应用程序

Google 于 2017 年 5 月称 Kotlin 是编写 Android 应用程序的一流语言。自 Kotlin 发布以来，17％ 的 Android Studio 项目开始使用其编程，例如 Twitter，Pinterest 和 Netflix 都是使用 Kotlin 开发的应用程序。Kotlin 非常简洁，极大程度的减少了样板代码的数量，并且非常安全。

图2. 使用 Kotlin 开发的恶意应用程序的封装结构恶意软件

工作原理

启动 Swift Cleaner 后，恶意软件会将用户的设备信息发送到其远程服务器，并启动后台服务以从其远程 C＆C 服务器获取攻击任务。当设备第一次被感染时，恶意软件会将短信发送到 C＆C 服务器提供的指定号码。

图3.恶意应用程序通过短信收集并发送受害者的设备信息

恶意软件收到 SMS 命令后，远程服务器将执行 URL 转发并点击广告欺诈。

在其点击欺诈例程中，恶意软件会收到执行无线应用协议（WAP）任务的远程命令。 在此之后，将注入恶意的 Javascript 代码替换正则表达式。据悉，这是一系列定义搜索模式的字符，允许恶意行为者在特定的搜索字符串中解析广告的 HTML 代码。随后，恶意软件会秘密打开设备的移动数据，解析图像 base64 代码，破解 CAPTCHA ，并将完成的任务发送至远程服务器。

图4.恶意应用程序上传将用于订阅高级短信订阅服务的令牌

此外，恶意软件还可以将用户服务提供商的信息以及登录信息和验证码图片上传到 C＆C 服务器。一旦上传，C＆C 服务器就会自动处理用户的高级短息服务服务订阅，从而进行流量欺诈。

目前趋势科技称其已向 Google 披露了该恶意软件， Google Play Protect 也设置了保护措施来避免用户收到侵害。

(责任编辑：冬天的宇)